LOSTKEYS Malware

O grupo de ameaças ligado à Rússia, conhecido como COLDRIVER, expandiu seu conjunto de ferramentas, indo além das tradicionais campanhas de phishing de credenciais. Recentemente, o grupo foi flagrado implantando uma nova cepa de malware chamada LOSTKEYS em uma campanha de espionagem direcionada. Este é o segundo malware personalizado vinculado ao COLDRIVER, depois do SPICA. Também rastreado sob pseudônimos como Callisto, Star Blizzard e UNC4057, o COLDRIVER é famoso por roubo de credenciais, exfiltração de e-mails e coleta de listas de contatos. Agora, seu manual inclui a implantação seletiva de malware para acessar arquivos e dados do sistema.

O LOSTKEYS Revelado: Uma Ameaça Furtiva e Direcionada

O LOSTKEYS foi projetado para exfiltrar furtivamente informações confidenciais, incluindo arquivos de diretórios específicos, processos em execução e detalhes do sistema. Ele foi implantado em operações durante janeiro, março e abril de 2025. Os alvos incluem assessores atuais e antigos de governos e militares ocidentais, jornalistas, think tanks, ONGs e indivíduos associados à Ucrânia. Notavelmente, o malware parece ser implantado de forma seletiva, enfatizando seu uso em ataques altamente direcionados.

Engenharia Social 2.0: A Conexão ClickFix

A cadeia de infecção começa com um prompt de CAPTCHA falso hospedado em um site falso. As vítimas são induzidas a abrir a caixa de diálogo Executar do Windows e colar um comando do PowerShell copiado para a área de transferência — um método conhecido como ClickFix. Esse comando busca um downloader de segundo estágio em um servidor remoto, que então entrega um script do PowerShell de terceiro estágio. Esse script executa LOSTKEYS no host, evitando a detecção em ambientes virtuais.

Um Malware Reaproveitado ou Testes Iniciais?

Pesquisadores de segurança descobriram amostras do LOSTKEYS datadas de dezembro de 2023 que imitavam binários do Maltego, uma plataforma de investigação de código aberto. Ainda não está claro se essas eram versões de teste iniciais ou usos não relacionados do malware antes de sua implantação confirmada em 2025.

A Adoção Mais Ampla e o Alcance Prejudicial do ClickFix

A técnica ClickFix está ganhando popularidade entre diversos agentes de ameaças para distribuição de malware. Dois exemplos notáveis incluem:

• Trojan bancário Lampion : distribuído por e-mails de phishing com anexos ZIP. Dentro dele, um arquivo HTML redireciona as vítimas para uma página falsa de CAPTCHA com instruções do ClickFix, iniciando uma infecção em várias etapas, visando setores de língua portuguesa, como governo, finanças e transporte.
• Atomic Stealer para macOS : Em conjunto com uma tática chamada EtherHiding, na qual contratos da Binance Smart Chain (BSC) ocultam payloads. Vítimas que clicam em "Não sou um robô" acionam, sem saber, um comando Base64, que é então executado no Terminal para baixar e executar um binário Mach-O assinado, confirmado como Atomic Stealer.

MacReaper: Uma Campanha Generalizada de Exploração Legítima de Sites

Investigações posteriores ligaram a campanha Atomic Stealer a um ataque de watering hole em larga escala, denominado MacReaper. Quase 2.800 sites legítimos foram comprometidos para exibir prompts de CAPTCHA falsos. Esses ataques usaram JavaScript ofuscado, iframes de tela cheia e infraestrutura baseada em blockchain para evitar a detecção e maximizar as infecções.